Assured Open Source Software (Assured OSS) memungkinkan Anda memanfaatkan keamanan dan pengalaman yang diterapkan Google ke software open source (OSS) dengan menyertakan paket OSS yang sama yang diamankan dan digunakan Google ke dalam alur kerja developer Anda sendiri.
Assured OSS memungkinkan Anda melakukan hal berikut:
- Dapatkan paket OSS Anda dari pemasok yang tepercaya dan terkenal.
- Pelajari lebih lanjut konten paket dengan Assured SBOM yang disediakan dalam format standar industri seperti SPDX.
- Pelajari ancaman dan keamanan paket dengan informasi VEX dalam format standar industri seperti CycloneDX.
- Kurangi risiko keamanan karena Google secara aktif memindai, menemukan, dan memperbaiki kerentanan baru dalam paket yang diseleksi.
- Tingkatkan kepercayaan pada integritas OSS yang Anda gunakan melalui asal-usul yang ditandatangani dan tahan terhadap gangguan provenance.
- Pilih dari lebih dari seribu paket Java, Go, dan Python yang paling populer, termasuk project machine learning dan kecerdasan buatan umum seperti TensorFlow, Pandas, dan Scikit-learn.
Paket open source dibuat oleh Google dengan cara yang aman. Paket ini memenuhi persyaratan Supply-chain Levels for Software Artifacts (SLSA) level 3 dan memiliki asal-usul dan SBOM yang dapat diverifikasi.
Tingkat Assured OSS
Assured OSS memiliki tingkat Gratis dan tingkat Premium. Tingkat Premium tersedia saat Anda membeli Security Command Center Premium atau Security Command Center Enterprise.
Tingkat Gratis mencakup hal berikut:
- Paket open source Python, Go, dan Java di repositori yang diseleksi.
- Langkah-langkah penyiapan manual.
- Repositori yang diseleksi dan dibuat dalam project yang dikelola Google.
- Endpoint proxy universal untuk paket open source. Proxy ini memungkinkan Anda mendownload paket open source dan metadatanya dari satu sumber, baik paket tersebut dibuat oleh Google atau tidak.
- Dukungan untuk akses akun Amazon Web Service (AWS).
Tingkat Premium memungkinkan Anda mengintegrasikan Assured OSS dengan Security Command Center Premium atau Security Command Center Enterprise. Tingkat ini mencakup hal berikut:
- Paket open source Python, Go, dan Java di repositori yang diseleksi.
- Paket open source JavaScript di repositori kanonis.
- Penyiapan otomatis sebagai bagian dari proses aktivasi tingkat organisasi untuk Security Command Center Premium atau Security Command Center Enterprise.
- Repositori yang diseleksi dan dibuat dalam project yang Anda tentukan.
- Metadata paket universal yang dikumpulkan dan ditandatangani oleh Google. Metadata ini memberikan informasi tentang build paket, kerentanan, dan kesehatan paket. Informasi kesehatan paket hanya tersedia untuk paket yang dibuat oleh Google.
Untuk mengetahui informasi selengkapnya tentang harga langganan Security Command Center, lihat Harga Security Command Center.
Opsi repositori Assured OSS
Paket Assured OSS disimpan di repositori Artifact Registry yang dikelola Google. Anda dapat mengakses dan mendownload paket open source yang ditawarkan oleh Assured OSS menggunakan salah satu metode berikut:
Siapkan repositori jarak jauh (juga disebut mirror atau proxy) di lingkungan Anda untuk bertindak sebagai proxy untuk repositori Artifact Registry yang dikelola Google. Developer Anda dapat terhubung ke repositori jarak jauh untuk mendownload paket. Gunakan metode ini jika Anda menggunakan pengelola repositori seperti Jfrog Artifactory atau Sonatype Nexus.
Hubungkan ke repositori Artifact Registry secara langsung menggunakan akun layanan. Gunakan metode ini jika developer menggunakan alat build seperti Maven, Gradle, Go, atau pip.
Gunakan repositori upstream virtual yang bertindak sebagai satu titik akses untuk developer Anda sehingga mereka dapat mendownload, menginstal, atau men-deploy paket.
Di tingkat Premium, dua repositori virtual dibuat secara otomatis: satu untuk paket Java dan satu untuk paket Python. Di tingkat Gratis, Anda harus mengonfigurasi repositori virtual sendiri. Anda dapat menggunakan repositori standar Artifact Registry atau repositori jarak jauh Artifact Registry sebagai repositori virtual upstream. Anda juga dapat menggunakan repositori jenis Assured OSS, yang merupakan wrapper atas repositori virtual yang memiliki akses ke paket tingkat Gratis dan tingkat Premium. Repositori jenis Assured OSS melakukan pemeriksaan sisi server.
Diagram berikut menunjukkan Assured OSS yang terhubung ke repositori jarak jauh.
Keamanan supply chain software
Assured Open Source Software adalah salah satu Google Cloud komponen yang dapat Anda gunakan untuk melindungi supply chain software Anda. Anda dapat menggunakan Assured Open Source Software bersama dengan produk dan Google Cloud fitur lain untuk meningkatkan postur keamanan alur kerja dan alat developer, dependensi software, sistem CI/CD yang digunakan untuk membangun dan men-deploy software, serta lingkungan runtime seperti Google Kubernetes Engine dan Cloud Run. Untuk mempelajari lebih lanjut, lihat Keamanan supply chain software.
Langkah berikutnya
- Untuk menggunakan tingkat Gratis, lihat Mengaktifkan Assured OSS.
- Untuk berintegrasi dengan Security Command Center Enterprise, lihat Berintegrasi dengan Assured OSS untuk keamanan kode.